2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩20頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、<p><b>  畢業(yè)設(shè)計(jì)(論文)</b></p><p>  題 目 計(jì)算機(jī)病毒與防治 </p><p>  系 別: 軟件工程分院 </p><p>  專 業(yè): 計(jì)算機(jī)應(yīng)用技術(shù) </p><p>  學(xué) 號: </p>

2、<p>  姓 名: </p><p>  指導(dǎo)老師: </p><p><b>  計(jì)算機(jī)病毒與防治</b></p><p>  第一章:計(jì)算機(jī)病毒的概述</p><p>  1.1計(jì)算機(jī)病毒的定義</p><p>  計(jì)算

3、機(jī)病毒(Computer Virus)在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自</p><p>  我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。與醫(yī)學(xué)上的“病毒”不同,計(jì)算機(jī)病毒不是天然存在的,是某些人利用計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計(jì)算機(jī)的存儲介質(zhì)(或程序)里,

4、當(dāng)達(dá)到某種條件時(shí)即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計(jì)算機(jī)資源進(jìn)行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!</p><p>  1.2計(jì)算機(jī)病毒的歷史</p><p>  ●1994年 全球計(jì)算機(jī)反病毒研究中心大廈建成 </p><p>  ●1995年 全球計(jì)算機(jī)反病毒研究中心成立于

5、美國紐約 </p><p>  ●1996年 第一任主席由比爾·蓋茨擔(dān)任 </p><p>  ●1997年 研究中心有效控制了CIH宏病毒的大規(guī)模爆發(fā) </p><p>  ●1998年 積極研究各種計(jì)算機(jī)病毒 </p><p>  ●1999年 在去年的努力下病毒爆發(fā)率明顯降低 </p><p>  ●2

6、000年 千年蟲病毒迅速占領(lǐng)整個(gè)互聯(lián)網(wǎng) </p><p>  ●2001年 經(jīng)過一年的不懈研究研究“千年蟲克星” </p><p>  ●2002年 AUTO病毒突然在同一時(shí)間攻擊了世界各國大型公司損失達(dá)到上億美圓 </p><p>  ●2003年 AUTO病毒經(jīng)過不斷變種、更新、升級有明顯擴(kuò)散的趨勢,直到年底被完全克制住 </p><p>

7、;  ●2004年 威金病毒一個(gè)新型的儒蟲病毒在全球范圍爆發(fā),目前沒有任何有效的方法可以阻止其爆發(fā) </p><p>  ●2005年 內(nèi)部增加了技術(shù)人員,同年消滅了灰鴿子、黑蝴蝶及威金病毒 </p><p>  ●2006年 針對亞洲大規(guī)模的爆發(fā)名叫“熊貓燒香”專門制作出了專殺工具 </p><p>  ●2007年 陳風(fēng)升任全球計(jì)算機(jī)病毒研究中心首席技術(shù)顧問&l

8、t;/p><p>  1.3計(jì)算機(jī)病毒的起源</p><p>  最早由馮·諾伊曼提出一種可能性----現(xiàn)在稱為病毒,但沒引起注意. 1975 年,美國科普作家約翰·布魯勒爾 (JOHN BRUNNER) 寫了本名為《震蕩波騎士》(SHOCK WAVE RIDER) 的書,該書第一次描寫了在信息

9、社會中,計(jì)算機(jī)作為正義和邪惡雙方斗爭的工具的故事,成為當(dāng)年最佳暢銷書之一</p><p>  1977年夏天,托馬斯·捷·瑞安 (THOMAS.J.RYAN) 的科幻小說《P-1的春天》(THE ADOLESCENCE OF P-1) 成為美國的暢銷書,作者在這本書中描寫了一種可以在計(jì)算機(jī)中互相傳染的病毒,病毒最后控制了 7

10、,000 臺計(jì)算機(jī),造成了一場災(zāi)難。</p><p>  1983年11月3日,弗雷德·科恩 (FRED COHEN) 博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序,倫·艾德勒曼 (LEN ADLEMAN) 將它命名為計(jì)算機(jī)病毒(COMPUTER VIRUSES),并在每周一次的計(jì)算機(jī)安全討論會上正式提出,8

11、小時(shí)后專家們在VAX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行,第一個(gè)病毒實(shí)驗(yàn)成功,一周后又獲準(zhǔn)進(jìn)行5個(gè)實(shí)驗(yàn)的演示,從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。</p><p>  1986 年初,在巴基斯坦的拉合爾 (LAHORE),巴錫特 (BASIT) 和阿姆杰德(AMJAD) 兩兄弟經(jīng)營著一家 IBM-PC 機(jī)及其兼容機(jī)的小商店。他們編寫了PAKISTAN&

12、#160;病毒,即BRAIN。在一年內(nèi)流傳到了世界各地。 1988 年 3 月 2 日,一種蘋果機(jī)的病毒發(fā)作,這天受感染的蘋果機(jī)停止工作,只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機(jī)生日。 </p><p>  1988 年 11 月 2 日,美國六千多臺計(jì)算機(jī)被病毒感染,造成&

13、#160;INTERNET不能正常運(yùn)行。這是一次非常典型的計(jì)算機(jī)病毒入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件,迫使美國政府立即做出反應(yīng),國防部成立了計(jì)算機(jī)應(yīng)急行動小組。這次事件中遭受攻擊的包括5個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn),連接著政府、大學(xué)、研究所和擁有政府合同的 250,000 臺計(jì)算機(jī)。這次病毒事件,計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá) 9600 萬美元。這個(gè)病毒程序設(shè)計(jì)者是羅伯特·莫里斯 (ROBERT

14、 T.MORRIS),當(dāng)年 23 歲,是在康乃爾 (CORNELL) 大學(xué)攻讀學(xué)位的研究生。</p><p>  羅伯特·莫里斯設(shè)計(jì)的病毒程序利用了系統(tǒng)存在的弱點(diǎn)。由于羅伯特·莫里斯成了入侵 ARPANET 網(wǎng)的最大的電子入侵者,而獲準(zhǔn)參加康乃爾大學(xué)的畢業(yè)設(shè)計(jì),并獲得哈佛大學(xué) AIKEN 中心超級用戶的特

15、權(quán)。他也因此被判3年緩刑,罰款1萬美元,他還被命令進(jìn)行400 小時(shí)的社區(qū)服務(wù)。</p><p>  1988 年底,在我國的國家統(tǒng)計(jì)部門發(fā)現(xiàn)小球病毒。</p><p>  1.4計(jì)算機(jī)病毒的分類</p><p>  根據(jù)多年對計(jì)算機(jī)病毒的研究,按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法,計(jì)算機(jī)病毒可分類如下:按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類,計(jì)算機(jī)病毒可以根

16、據(jù)下面的屬性進(jìn)行分類: </p><p><b>  按病毒存在的媒體</b></p><p>  根據(jù)病毒存在的媒體,病毒可以劃分為網(wǎng)絡(luò)病毒,文件病毒,引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件,文件病毒感染計(jì)算機(jī)中的文件(如:COM,EXE,DOC等),引導(dǎo)型病毒感染啟動扇區(qū)(Boot)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)(MBR),還有這三種情況的混合型,例如

17、:多型病毒(文件和引導(dǎo)型)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo),這樣的病毒通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng),同時(shí)使用了加密和變形算法。 </p><p><b>  按病毒傳染的方法</b></p><p>  根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計(jì)算機(jī)后,把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中,這一部分程序掛接系統(tǒng)調(diào)用并合并到操

18、作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動.非駐留型病毒在得到機(jī)會激活時(shí)并不感染計(jì)算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。 </p><p><b>  按病毒破壞的能力</b></p><p>  無害型:除了傳染時(shí)減少磁盤的可用空間外,對系統(tǒng)沒有其它影響。 </p><p>

19、  無危險(xiǎn)型:這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。 </p><p>  危險(xiǎn)型:這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。 </p><p>  非常危險(xiǎn)型:這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對系統(tǒng)造成的危害,并不是本身的算法中存在危險(xiǎn)的調(diào)用,而是當(dāng)它們傳染時(shí)會引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會破壞文

20、件和扇區(qū),這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如:在早期的病毒中,有一個(gè)“Denzuk”病毒在360K磁盤上很好的工作,不會造成任何破壞,但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。 </p><p><b>  按病毒的算法</b></p><p>  伴隨型病毒,這一類病毒并

21、不改變文件本身,它們根據(jù)算法產(chǎn)生EXE文件的伴隨體,具有同樣的名字和不同的擴(kuò)展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件,當(dāng)DOS加載文件時(shí),伴隨體優(yōu)先被執(zhí)行到,再由伴隨體加載執(zhí)行原來的EXE文件。 </p><p>  “蠕蟲”型病毒,通過計(jì)算機(jī)網(wǎng)絡(luò)傳播,不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存,計(jì)算網(wǎng)絡(luò)地址,將自身的

22、病毒通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們在系統(tǒng)存在,一般除了內(nèi)存不占用其它資源。 </p><p>  寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中,通過系統(tǒng)的功能進(jìn)行傳播,按其算法不同可分為:練習(xí)型病毒,病毒自身包含錯(cuò)誤,不能進(jìn)行很好的傳播,例如一些病毒在調(diào)試階段。 </p><p>  詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù),而是通過設(shè)備技術(shù)

23、和文件緩沖區(qū)等DOS內(nèi)部修改,不易看到資源,使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。 </p><p>  變型病毒(又稱幽靈病毒)這一類病毒使用一個(gè)復(fù)雜的算法,使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。</p><p>  1.5計(jì)算機(jī)病毒的發(fā)展</p><p>  在病毒的發(fā)展史上,病毒

24、的出現(xiàn)是有規(guī)律的,一般情況下一種新的病毒技術(shù)出現(xiàn)后,病毒迅速發(fā)展,接著反病毒技術(shù)的發(fā)展會抑制其流傳。操作系統(tǒng)升級后,病毒也會調(diào)整為新的方式,產(chǎn)生新的病毒技術(shù)。它可劃分為: </p><p><b>  DOS引導(dǎo)階段</b></p><p>  1987年,計(jì)算機(jī)病毒主要是引導(dǎo)型病毒,具有代表性的是“小球”和“石頭”病毒。當(dāng)時(shí)的計(jì)算機(jī)硬件較少,功能簡單,一般需要通過軟

25、盤啟動后使用.引導(dǎo)型病毒利用軟盤的啟動原理工作,它們修改系統(tǒng)啟動扇區(qū),在計(jì)算機(jī)啟動時(shí)首先取得控制權(quán),減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時(shí)進(jìn)行傳播; </p><p>  1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤,典型的代表有“石頭2”; </p><p><b>  DOS可執(zhí)行階段</b></p><p>  1

26、989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán),修改DOS中斷,在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染,并將自己附加在可執(zhí)行文件中,使文件長度增加。 </p><p>  1990年,發(fā)展為復(fù)合型病毒,可感染COM和EXE文件。 </p><p><b>  伴隨、批次型階段</b><

27、;/p><p>  1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作,具有代表性的是“金蟬”病毒,它感染EXE文件時(shí)生成一個(gè)和EXE同名但擴(kuò)展名為COM的伴隨體;它感染文件時(shí),改原來的COM文件為同名的EXE文件,再產(chǎn)生一個(gè)原名的伴隨體,文件擴(kuò)展名為COM,這樣,在DOS加載文件時(shí),病毒就取得控制權(quán).這類病毒的特點(diǎn)是不改變原來的文件內(nèi)容,日期及屬性,解除病毒時(shí)只要將其伴隨體刪除即可。在非DOS操作

28、系統(tǒng)中,一些伴隨型病毒利用操作系統(tǒng)的描述語言進(jìn)行工作,具有典型代表的是“海盜旗”病毒,它在得到執(zhí)行時(shí),詢問用戶名稱和口令,然后返回一個(gè)出錯(cuò)信息,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。 </p><p><b>  幽靈、多形階段</b></p><p>  1994年,隨著匯編語言的發(fā)展,實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成,這些方式

29、的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn),每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序,病毒體被隱藏在解碼前的數(shù)據(jù)中,查解這類病毒就必須能對這段數(shù)據(jù)進(jìn)行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導(dǎo)區(qū)又能感染程序區(qū),多數(shù)具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。 </p><p><b>  生成器,變體

30、機(jī)階段</b></p><p>  1995年,在匯編語言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成,當(dāng)生成器的生成結(jié)果為病毒時(shí),就產(chǎn)生了這種復(fù)雜的“病毒生成器” ,而變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。這一階段的典型代表是“病毒制造機(jī)” VCL,它可以在瞬間制造出成千上萬種不同的病毒,查

31、解時(shí)就不能使用傳統(tǒng)的特征識別法,需要在宏觀上分析指令,解碼后查解病毒。 </p><p><b>  網(wǎng)絡(luò),蠕蟲階段</b></p><p>  1995年,隨著網(wǎng)絡(luò)的普及,病毒開始利用網(wǎng)絡(luò)進(jìn)行傳播,它們只是以上幾代病毒的改進(jìn).在非DOS操作系統(tǒng)中,“蠕蟲”是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行傳播,

32、有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動文件中存在。 </p><p><b>  視窗階段</b></p><p>  1996年,隨著Windows和Windows95的日益普及,利用Windows進(jìn)行工作的病毒開始發(fā)展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機(jī)制更為復(fù)雜,它們利用保護(hù)模式和API調(diào)用接口工作,解除方法也比較復(fù)雜。 </p>

33、<p><b>  宏病毒階段</b></p><p>  1996年,隨著Windows Word功能的增強(qiáng),使用Word宏語言也可以編制病毒,這種病毒使用類Basic語言、編寫容易、感染W(wǎng)ord文檔等文件,在Excel和AmiPro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類,由于Word文檔格式?jīng)]有公開,這類病毒查解比較困難。 </p><p><b&

34、gt;  互聯(lián)網(wǎng)階段</b></p><p>  1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用因特網(wǎng)進(jìn)行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多,如果不小心打開了這些郵件,機(jī)器就有可能中毒; </p><p><b>  郵件炸彈階段</b></p><p>  1997年,隨著萬維網(wǎng)(Wold Wide Web)上Java的普

35、及,利用Java語言進(jìn)行傳播和資料獲取的病毒開始出現(xiàn),典型的代表是JavaSnake病毒,還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒,例如Mail-Bomb病毒,它會嚴(yán)重影響因特網(wǎng)的效率。</p><p>  第二章:計(jì)算機(jī)病毒的特性</p><p><b>  1.繁殖性</b></p><p>  計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖,當(dāng)正

36、常程序運(yùn)行的時(shí)候,它也進(jìn)行運(yùn)行自身復(fù)制,是否具有繁殖、感染的特征是判斷某段程序?yàn)橛?jì)算機(jī)病毒的首要條件。 </p><p><b>  傳染性</b></p><p>  計(jì)算機(jī)病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復(fù)制或產(chǎn)生變種,其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界,病毒通過傳染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下,它可

37、得到大量繁殖,并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣,計(jì)算機(jī)病毒也會通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī),在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱 </p><p><b>  2.計(jì)算機(jī)網(wǎng)絡(luò)</b></p><p>  瘓。與生物病毒不同的是,計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼,這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行,它就會搜尋其他符合其

38、傳染條件的程序或存儲介質(zhì),確定目標(biāo)后再將自身代碼插入其中,達(dá)到自我繁殖的目的。只要一臺計(jì)算機(jī)染毒,如不及時(shí)處理,那么病毒會在這臺電腦上迅速擴(kuò)散,計(jì)算機(jī)病毒可通過各種可能的渠道,如軟盤、硬盤、移動硬盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。當(dāng)您在一臺機(jī)器上發(fā)現(xiàn)了病毒時(shí),往往曾在這臺計(jì)算機(jī)上用過的軟盤已感染上了病毒,而與這臺機(jī)器相聯(lián)網(wǎng)的其他計(jì)算機(jī)也許也被該病毒染上了。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。 </p>

39、<p><b>  3.潛伏性 </b></p><p>  有些病毒像定時(shí)炸彈一樣,讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒,不到預(yù)定時(shí)間一點(diǎn)都覺察不出來,等到條件具備的時(shí)候一下子就爆炸開來,對系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)病毒程序,進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作,因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天,甚至幾年,一旦時(shí)機(jī)成熟,得到運(yùn)行機(jī)會,就又要四處繁殖、擴(kuò)散

40、,繼續(xù)危害。潛伏性的第二種表現(xiàn)是指,計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制,不滿足觸發(fā)條件時(shí),計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標(biāo)識,有的則執(zhí)行破壞系統(tǒng)的操作,如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。 </p><p><b>  隱蔽性</b></p><p>  計(jì)算機(jī)病毒具有很強(qiáng)的

41、隱蔽性,有的可以通過病毒軟件檢查出來,有的根本就查不出來,有的時(shí)隱時(shí)現(xiàn)、變化無常,這類病毒處理起來通常很困難。 </p><p><b>  破壞性</b></p><p>  計(jì)算機(jī)中毒后,可能會導(dǎo)致正常的程序無法運(yùn)行,把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。通常表現(xiàn)為:增、刪、改、移。 </p><p><b>  可觸發(fā)性&l

42、t;/b></p><p>  病毒因某個(gè)事件或數(shù)值的出現(xiàn),誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進(jìn)行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來控制感染和破壞動作的頻率的。病毒具有預(yù)定的觸發(fā)條件,這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí),觸發(fā)機(jī)

43、制檢查預(yù)定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進(jìn)行感染或攻擊;如果不滿足,使病毒繼續(xù)潛伏。</p><p>  第三章:計(jì)算機(jī)病毒的傳播方式與途徑</p><p><b>  1.因特網(wǎng)傳播: </b></p><p>  Internet既方便又快捷,不僅提高人們的工作效率,而且降低運(yùn)作成本,逐步被人們所接受并得到廣泛的使用。商

44、務(wù)來往的電子郵件,還有瀏覽網(wǎng)頁、下載軟件、即時(shí)通訊軟件、網(wǎng)絡(luò)游戲等等,都是通過互聯(lián)網(wǎng)這一媒介進(jìn)行。如此頻繁的使用率,注定備受病毒的“青睞”。 </p><p>  通過電子郵件傳播: </p><p>  在電腦和網(wǎng)絡(luò)日益普及的今天,商務(wù)聯(lián)通更多使用電子郵件傳遞,病毒也隨之找到了載體,最常見的是通過Internet交換Word格式的文檔。由于Internet使用的廣泛,其傳播速度相當(dāng)神速。

45、電子郵件攜帶病毒、木馬及其他惡意程序,會導(dǎo)致收件者的計(jì)算機(jī)被黑客入侵。email協(xié)議的新聞組、文件服務(wù)器、FTP下載和BBS文件區(qū)也是病毒傳播的主要形式。經(jīng)常有病毒制造者上傳帶毒文件到FTP和BBS上,通常是使用群發(fā)到不同組,很多病毒偽裝成一些軟件的新版本,甚至是殺毒軟件。很多病毒流行都是依靠這種方式同時(shí)使上千臺計(jì)算機(jī)染毒。 </p><p>  BBS是由計(jì)算機(jī)愛好者自發(fā)組織的通訊站點(diǎn),因?yàn)樯险救菀?、投資少,因

46、此深受大眾用戶的喜愛,用戶可以在BBS上進(jìn)行文件交換(包括自由軟件、游戲、自編程序)。由于BBS站一般沒有嚴(yán)格的安全管理,亦無任何限制,這樣就給一些病毒程序編寫者提供了傳播病毒的場所。各城市BBS站間通過中心站間進(jìn)行傳送,傳播面較廣。隨著BBS在國內(nèi)的普及,給病毒的傳播又增加了新的介質(zhì)。 </p><p>  通過瀏覽網(wǎng)頁和下載軟件傳播: </p><p>  很多網(wǎng)友都遇到過這樣的情況,

47、在瀏覽過某網(wǎng)頁之后,IE標(biāo)題便被修改了,并且每次打開IE都被迫登陸某一固定網(wǎng)站,有的還被禁止恢復(fù)還原,這便是惡意代碼在作怪。當(dāng)你的IE被修改,注冊表不能打開了,開機(jī)后IE瘋狂地打開窗口,被強(qiáng)制安裝了一些不想安裝的軟件,甚至可能當(dāng)你訪問了某個(gè)網(wǎng)頁時(shí),而自己的硬盤卻被格式化……那么很不幸,你肯定是中了惡意網(wǎng)站或惡意軟件的毒了。 </p><p>  通過即時(shí)通訊軟件傳播: </p><p> 

48、 即時(shí)通訊(Instant Messenger,簡稱IM)軟件可以說是目前我國上網(wǎng)用戶使用率最高的軟件,它已經(jīng)從原來純娛樂休閑工具變成生活工作的必備利器。由于用戶數(shù)量眾多,再加上即時(shí)通訊軟件本身的安全缺陷,例如內(nèi)建有聯(lián)系人清單,使得病毒可以方便地獲取傳播目標(biāo),這些特性都能被病毒利用來傳播自身,導(dǎo)致其成為病毒的攻擊目標(biāo)。事實(shí)上,臭名昭著、造成上百億美元損失的求職信(Worm.Klez)病毒就是第一個(gè)可以通過ICQ進(jìn)行傳播的惡性蠕蟲,它可以

49、遍歷本地ICQ中的聯(lián)絡(luò)人清單來傳播自身。而更多的對即時(shí)通訊軟件形成安全隱患的病毒還正在陸續(xù)發(fā)現(xiàn)中,并有愈演愈烈的態(tài)勢。截至目前,通過QQ來進(jìn)行傳播的病毒已達(dá)上百種。 </p><p>  P2P,即對等互聯(lián)網(wǎng)絡(luò)技術(shù)(點(diǎn)對點(diǎn)網(wǎng)絡(luò)技術(shù)),它讓用戶可以直接連接到其它用戶的計(jì)算機(jī),進(jìn)行文件共享與交換。每天全球有成千上萬的網(wǎng)民在通過P2P軟件交換資源、共享文件。由于這是一種新興的技術(shù),還很不完善,因此,存在著很大的安全隱患

50、。由于不經(jīng)過中繼服務(wù)器,使用起來更加隨意,所以許多病毒制造者開始編寫依賴于P2P技術(shù)的病毒。 </p><p>  通過網(wǎng)絡(luò)游戲傳播: </p><p>  網(wǎng)絡(luò)游戲已經(jīng)成為目前網(wǎng)絡(luò)活動的主體之一,更多的人選擇進(jìn)入游戲來緩解生活的壓力,實(shí)現(xiàn)自我價(jià)值,可以說,網(wǎng)絡(luò)游戲已經(jīng)成了一部分人生活中不可或缺的東西。對于游戲玩家來說,網(wǎng)絡(luò)游戲中最重要的就是裝備、道具這類虛擬物品了,這類虛擬物品會隨著時(shí)間

51、的積累而成為一種有真實(shí)價(jià)值的東西,因此出現(xiàn)了針對這些虛擬物品的交易,從而出現(xiàn)了偷盜虛擬物品的現(xiàn)象。一些用戶要想非法得到用戶的虛擬物品,就必須得到用戶的游戲帳號信息,因此,目前網(wǎng)絡(luò)游戲的安全問題主要就是游戲盜號問題。由于網(wǎng)絡(luò)游戲要通過電腦并連接到網(wǎng)絡(luò)上才能運(yùn)行,偷盜玩家游戲賬號、密碼最行之有效的武器莫過于特洛伊木馬(Trojan horse),專門偷竊網(wǎng)游賬號和密碼的木馬也層出不窮,這種攻擊性武器無論是菜鳥級的黑客,還是研究網(wǎng)絡(luò)安全的高手

52、,都視為最愛。 </p><p><b>  2.局域網(wǎng)傳播 </b></p><p>  局域網(wǎng)是由相互連接的一組計(jì)算機(jī)組成的,這是數(shù)據(jù)共享和相互協(xié)作的需要。組成網(wǎng)絡(luò)的每一臺計(jì)算機(jī)都能連接到其他計(jì)算機(jī),數(shù)據(jù)也能從一臺計(jì)算機(jī)發(fā)送到其他計(jì)算機(jī)上。如果發(fā)送的數(shù)據(jù)感染了計(jì)算機(jī)病毒,接收方的計(jì)算機(jī)將自動被感染,因此,有可能在很短的時(shí)間內(nèi)感染整個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)。局域網(wǎng)絡(luò)技術(shù)的應(yīng)

53、用為企業(yè)的發(fā)展作出巨大貢獻(xiàn),同時(shí)也為計(jì)算機(jī)病毒的迅速傳播鋪平了道路。同時(shí),由于系統(tǒng)漏洞所產(chǎn)生的安全隱患也會使病毒在局域網(wǎng)中傳播。 </p><p>  3.通過不可移動的計(jì)算機(jī)硬件設(shè)備傳播 </p><p>  此種傳播方式,是通過不可移動的計(jì)算機(jī)硬件設(shè)備進(jìn)行病毒傳播,其中計(jì)算機(jī)的專用集成電路芯片(ASIC)和硬盤為病毒的重要傳播媒介。通過ASIC傳播的病毒極為少見,但是,其破壞力卻極強(qiáng),

54、一旦遭受病毒侵害將會直接導(dǎo)致計(jì)算機(jī)硬件的損壞,檢測、查殺此類病毒的手段還需進(jìn)一步的提高。 </p><p>  硬盤是計(jì)算機(jī)數(shù)據(jù)的主要存儲介質(zhì),因此也是計(jì)算機(jī)病毒感染的重災(zāi)區(qū)。硬盤傳播計(jì)算機(jī)病毒的途徑是:硬盤向軟盤上復(fù)制帶毒文件、帶毒情況下格式化軟盤、向光盤上刻錄帶毒文件、硬盤之間的數(shù)據(jù)復(fù)制,以及將帶毒文件發(fā)送至其它地方等。 </p><p>  4.通過移動存儲設(shè)備傳播 </p&g

55、t;<p>  更多的計(jì)算機(jī)病毒逐步轉(zhuǎn)為利用移動存儲設(shè)備進(jìn)行傳播。移動存儲設(shè)備包括我們常見的軟盤、磁帶、光盤、移動硬盤、U盤(含數(shù)碼相機(jī)、MP3等)、ZIP和JAZ磁盤,后兩者僅僅是存儲容量比較大的特殊磁盤。軟盤主要是攜帶方便,早期在網(wǎng)絡(luò)還不普及時(shí),軟盤是使用廣泛、移動頻繁的存儲介質(zhì),因此也成了計(jì)算機(jī)病毒寄生“溫床”。光盤的存儲容量大,所以大多數(shù)軟件都刻錄在光盤上,以便互相傳遞;同時(shí),盜版光盤上的軟件和游戲及非法拷貝也是目

56、前傳播計(jì)算機(jī)病毒主要途徑。隨著大容量可移動存儲設(shè)備如Zip盤、可擦寫光盤、磁光盤(MO)等的普遍使用,這些存儲介質(zhì)也將成為計(jì)算機(jī)病毒寄生的場所。 </p><p>  隨著時(shí)代的發(fā)展,移動硬盤、U盤等移動設(shè)備也成為了新攻擊目標(biāo)。而U盤因其超大空間的存儲量,逐步成為了使用最廣泛、最頻繁的存儲介質(zhì),為計(jì)算機(jī)病毒寄生的提供更寬裕的空間。目前,U盤病毒逐步的增加,使得U盤成為第二大病毒傳播途徑。 </p>

57、<p><b>  5.無線設(shè)備傳播 </b></p><p>  目前,這種傳播途徑隨著手機(jī)功能性的開放和增值服務(wù)的拓展,已經(jīng)成為有必要加以防范的一種病毒傳播途徑。隨著智能手機(jī)的普及,通過彩信、上網(wǎng)瀏覽與下載到手機(jī)中的程序越來越多,不可避免的會對手機(jī)安全產(chǎn)生隱患,手機(jī)病毒會成為新一輪電腦病毒危害的“源頭”。手機(jī)、特別是智能手機(jī)和3G網(wǎng)絡(luò)發(fā)展的同時(shí),手機(jī)病毒的傳播速度和危害程度也與

58、日俱增。通過無線傳播的趨勢很有可能將會發(fā)展成為第二大病毒傳播媒介,并很有可能與網(wǎng)絡(luò)傳播造成同等的危害。 </p><p>  病毒的種類繁多,特性不一.</p><p>  4.2計(jì)算機(jī)病毒傳播途徑</p><p>  計(jì)算機(jī)病毒之所以稱之為病毒是因?yàn)槠渚哂袀魅拘缘谋举|(zhì)。傳統(tǒng)渠道通常有以下幾種: </p><p><b>  (1)

59、通過軟盤 </b></p><p>  通過使用外界被感染的軟盤,例如,不同渠道來的系統(tǒng)盤、來歷不明的軟件、游戲盤等是最普遍的傳染途徑。由于使用帶有病毒的軟盤,使機(jī)器感染病毒發(fā)病,并傳染給未被感染的“干凈”的軟盤。大量的軟盤交換,合法或非法的程序拷貝,不加控制地隨便在機(jī)器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。 </p><p><b>  (2)通過硬盤 &l

60、t;/b></p><p>  通過硬盤傳染也是重要的渠道,由于帶有病毒機(jī)器移到其它地方使用、維修等,將干凈的軟盤傳染并再擴(kuò)散。 </p><p><b>  (3)通過光盤 </b></p><p>  因?yàn)楣獗P容量大,存儲了海量的可執(zhí)行文件,大量的病毒就有可能藏身于光盤,對只讀式光盤,不能進(jìn)行寫操作,因此光盤上的病毒不能清除。以謀利為

61、目的非法盜版軟件的制作過程中,不可能為病毒防護(hù)擔(dān)負(fù)專門責(zé)任,也決不會有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前,盜版光盤的泛濫給病毒的傳播帶來了很大的便利。 </p><p><b>  (4)通過網(wǎng)絡(luò) </b></p><p>  這種傳染擴(kuò)散極快,能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。 </p><p>  隨著Interne

62、t的風(fēng)靡,給病毒的傳播又增加了新的途徑,它的發(fā)展使病毒可能成為災(zāi)難,病毒的傳播更迅速,反病毒的任務(wù)更加艱巨。Internet帶來兩種不同的安全威脅,一種威脅來自文件下載,這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來自電子郵件。大多數(shù)Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能,因此,遭受病毒的文檔或文件就可能通過網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。網(wǎng)絡(luò)使用的簡易性和開放性使得這種威脅越來越嚴(yán)重。 </p&

63、gt;<p>  4.3計(jì)算機(jī)病毒的傳染</p><p>  計(jì)算機(jī)病毒的傳染分兩種。一種是在一定條件下方可進(jìn)行傳染,即條件傳染。另一種是對一種傳染對象的反復(fù)傳染即無條件傳染。 </p><p>  從目前蔓延傳播病毒來看所謂條件傳染,是指一些病毒在傳染過程中,在被傳染的系統(tǒng)中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統(tǒng)時(shí),發(fā)現(xiàn)有自己的標(biāo)志則不再進(jìn)行傳染,如果是

64、一個(gè)新的系統(tǒng)或軟件,首先讀特定位置的值,并進(jìn)行判斷,如果發(fā)現(xiàn)讀出的值與自己標(biāo)識不一致,則對這一系統(tǒng)或應(yīng)用程序,或數(shù)據(jù)盤進(jìn)行傳染,這是一種情況;另一種情況,有的病毒通過對文件的類型來判斷是否進(jìn)行傳染,如黑色星期五病毒只感染.COM或.EXE文件等等;還有一種情況有的病毒是以計(jì)算機(jī)系統(tǒng)的某些設(shè)備為判斷條件來決定是否感染。例如大麻病毒可以感染硬盤,又可以感染軟盤,但對B驅(qū)動器的軟盤進(jìn)行讀寫操作時(shí)不傳染。但我們也發(fā)現(xiàn)有的病毒對傳染對象反復(fù)傳染。

65、例如黑色星期五病毒只要發(fā)現(xiàn).EXE文件就進(jìn)行一次傳染,再運(yùn)行再進(jìn)行傳染反復(fù)進(jìn)行下去。 </p><p>  可見有條件時(shí)病毒能傳染,無條件時(shí)病毒也可以進(jìn)行傳染</p><p>  4.4計(jì)算機(jī)病毒的過程</p><p>  在系統(tǒng)運(yùn)行時(shí),病毒通過病毒載體即系統(tǒng)的外存儲器進(jìn)入系統(tǒng)的內(nèi)存儲器,常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行,當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿足條件

66、時(shí),便從內(nèi)存中將自身存入被攻擊的目標(biāo),從而將病毒進(jìn)行傳播。而病毒利用系統(tǒng)INT 13H讀寫磁盤的中斷又將其寫入系統(tǒng)的外存儲器軟盤或硬盤中,再感染其他系統(tǒng)。 </p><p>  可執(zhí)行文件感染病毒后又怎樣感染新的可執(zhí)行文件? </p><p>  可執(zhí)行文件.COM或.EXE感染上了病毒,例如黑色星期五病毒,它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時(shí)進(jìn)入內(nèi)存的。一旦進(jìn)入內(nèi)存,便開始監(jiān)視系統(tǒng)的運(yùn)

67、行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí),進(jìn)行如下操作: </p><p> ?。?)首先對運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識位信息進(jìn)行判斷是否已感染了病毒; </p><p> ?。?)當(dāng)條件滿足,利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間,并存大磁盤中; </p><p> ?。?)完成傳染后,繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行,試圖尋找新的攻擊目標(biāo)。 </p>&

68、lt;p>  操作系統(tǒng)型病毒是怎樣進(jìn)行傳染的? </p><p>  正常的PC DOS啟動過程是: </p><p> ?。?)加電開機(jī)后進(jìn)入系統(tǒng)的檢測程序并執(zhí)行該程序?qū)ο到y(tǒng)的基本設(shè)備進(jìn)行檢測; </p><p> ?。?)檢測正常后從系統(tǒng)盤0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導(dǎo)程序到內(nèi)存的0000: 7C00處; </p><p&g

69、t; ?。?)轉(zhuǎn)入Boot執(zhí)行; </p><p> ?。?)Boot判斷是否為系統(tǒng)盤,如果不是系統(tǒng)盤則提示; </p><p>  non-system disk or disk error </p><p>  Replace and strike any key when ready </p><p>  否則,讀入IBM BIO-CO

70、M和IBM DOS-COM兩個(gè)隱含文件; </p><p>  (5)執(zhí)行IBM BIOCOM和IBM DOS-COM兩個(gè)隱含文件,將COMMAND-COM裝入內(nèi)存; </p><p> ?。?)系統(tǒng)正常運(yùn)行,DOS啟動成功。 </p><p>  如果系統(tǒng)盤已感染了病毒,PC DOS的啟動將是另一番景象,其過程為: </p><p>  (

71、1)將Boot區(qū)中病毒代碼首先讀入內(nèi)存的0000: 7C00處; </p><p> ?。?)病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存,監(jiān)視系統(tǒng)的運(yùn)行; </p><p> ?。?)修改INT 13H中斷服務(wù)處理程序的入口地址,使之指向病毒控制模塊并執(zhí)行之。因?yàn)槿魏我环N病毒要感染軟盤或者硬盤,都離不開對磁盤的讀寫操作,修改INT 13H中斷服務(wù)程序的入口地址是一項(xiàng)少不了的操作;

72、</p><p> ?。?)病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000: 7C00處,進(jìn)行正常的啟動過程; </p><p> ?。?)病毒程序伺機(jī)等待隨時(shí)準(zhǔn)備感染新的系統(tǒng)盤或非系統(tǒng)盤。 </p><p>  如果發(fā)現(xiàn)有可攻擊的對象,病毒要進(jìn)行下列的工作: </p><p> ?。?)將目標(biāo)盤的引導(dǎo)扇區(qū)讀入內(nèi)存,對該盤進(jìn)

73、行判別是否傳染了病毒; </p><p>  (2)當(dāng)滿足傳染條件時(shí),則將病毒的全部或者一部分寫入Boot區(qū),把正常的磁盤的引導(dǎo)區(qū)程序?qū)懭氪疟P特寫位置; </p><p> ?。?)返回正常的INT 13H中斷服務(wù)處理程序,完成了對目標(biāo)盤的傳染。 </p><p>  操作系統(tǒng)型病毒對非系統(tǒng)盤感染病毒后最簡單的處理方法是什么? </p><p&g

74、t;  因?yàn)椴僮飨到y(tǒng)型病毒只有在系統(tǒng)引導(dǎo)時(shí)才進(jìn)入內(nèi)存,開始活動,對非系統(tǒng)盤感染病毒后,不從它上面引導(dǎo)系統(tǒng),則病毒不會進(jìn)入內(nèi)存。這時(shí)對已感染的非系統(tǒng)盤消毒最簡單的方法是將盤上有用的文件拷貝出來,然后將帶毒盤重新格式化即可。</p><p>  第五章:計(jì)算機(jī)病毒的破壞行為</p><p>  4.1計(jì)算機(jī)病毒的行為</p><p>  計(jì)算機(jī)病毒的破壞行為體現(xiàn)了病毒的

75、殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能量。數(shù)以萬計(jì)不斷發(fā)展擴(kuò)張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據(jù)現(xiàn)有的病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下: </p><p>  攻擊系統(tǒng)數(shù)據(jù)區(qū),攻擊部位包括:硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。迫使計(jì)算機(jī)空轉(zhuǎn),計(jì)算機(jī)速度明顯下降。 </p><p> 

76、 攻擊磁盤,攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時(shí)丟字節(jié)等。 </p><p>  擾亂屏幕顯示,病毒擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動、亂寫、吃字符等。 </p><p>  鍵盤病毒,干擾鍵盤操作,已發(fā)現(xiàn)有下述方式:響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。喇叭病毒,許多病毒運(yùn)行時(shí),會使計(jì)算機(jī)的喇叭發(fā)出響聲。有

77、的病毒作者通過喇叭發(fā)出種種聲音,有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲,在高雅的曲調(diào)中去殺戮人們的信息財(cái)富,已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式:演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 </p><p>  攻擊CMOS , 在機(jī)器的CMOS區(qū)中,保存著系統(tǒng)的重要數(shù)據(jù),例如系統(tǒng)時(shí)鐘、磁盤類型、內(nèi)存容量等。有的病毒激活時(shí),能夠?qū)MOS區(qū)進(jìn)行寫入動作,破壞系統(tǒng)CMOS中的數(shù)據(jù)。 </p><

78、;p>  干擾打印機(jī),典型現(xiàn)象為:假報(bào)警、間斷性打印、更換字符等。</p><p>  4.2計(jì)算機(jī)病毒的危害</p><p>  會造成計(jì)算機(jī)資源的損失和破壞,不但會造成資源和財(cái)富的巨大浪費(fèi),而且有可能造成社會性的災(zāi)難,隨著信息化社會的發(fā)展,計(jì)算機(jī)病毒的威脅日益嚴(yán)重,反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時(shí)1分59秒,美國康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生,23歲的莫里斯

79、(Morris)將其編寫的蠕蟲程序輸入計(jì)算機(jī)網(wǎng)絡(luò),致使這個(gè)擁有數(shù)萬臺計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計(jì)算機(jī)病毒的恐慌,也使更多的計(jì)算機(jī)專家重視和致力于計(jì)算機(jī)病毒研究。1988年下半年,中國在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒,它對統(tǒng)計(jì)系統(tǒng)影響極大,此后由計(jì)算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷,前一段時(shí)間發(fā)現(xiàn)的CIH、美麗莎等病毒更是給社會造成了很大損失。</p>

80、<p>  1.3計(jì)算機(jī)病毒的癥狀</p><p>  1.計(jì)算機(jī)系統(tǒng)運(yùn)行速度減慢。 </p><p>  2.計(jì)算機(jī)系統(tǒng)經(jīng)常無故發(fā)生死機(jī)。 </p><p>  3.計(jì)算機(jī)系統(tǒng)中的文件長度發(fā)生變化。 </p><p>  4.計(jì)算機(jī)存儲的容量異常減少。 </p><p>  5.系統(tǒng)引導(dǎo)速度減慢。 &l

81、t;/p><p>  6.丟失文件或文件損壞。 </p><p>  7.計(jì)算機(jī)屏幕上出現(xiàn)異常顯示。 </p><p>  8.計(jì)算機(jī)系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。 </p><p>  9.磁盤卷標(biāo)發(fā)生變化。 </p><p>  10.系統(tǒng)不識別硬盤。 </p><p>  11.對存儲系統(tǒng)異常訪問

82、。 </p><p>  12.鍵盤輸入異常。 </p><p>  13.文件的日期、時(shí)間、屬性等發(fā)生變化。 </p><p>  14.文件無法正確讀取、復(fù)制或打開。 </p><p>  15.命令執(zhí)行出現(xiàn)錯(cuò)誤。 </p><p><b>  16.虛假報(bào)警。 </b></p>

83、<p>  17.換當(dāng)前盤。有些病毒會將當(dāng)前盤切換到C盤。 </p><p>  18.時(shí)鐘倒轉(zhuǎn)。有些病毒會命名系統(tǒng)時(shí)間倒轉(zhuǎn),逆向計(jì)時(shí)。 </p><p>  19.WINDOWS操作系統(tǒng)無故頻繁出現(xiàn)錯(cuò)誤。 </p><p>  20.系統(tǒng)異常重新啟動。 </p><p>  21.一些外部設(shè)備工作異常。 </p>

84、<p>  22.異常要求用戶輸入密碼。 </p><p>  23.WORD或EXCEL提示執(zhí)行“宏”。 </p><p>  24.使不應(yīng)駐留內(nèi)存的程序駐留內(nèi)存</p><p>  4.3計(jì)算機(jī)病毒的危害</p><p>  會造成計(jì)算機(jī)資源的損失和破壞,不但會造成資源和財(cái)富的巨大浪費(fèi),而且有可能造成社會性的災(zāi)難,隨著信息化社會

85、的發(fā)展,計(jì)算機(jī)病毒的威脅日益嚴(yán)重,反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時(shí)1分59秒,美國康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生,23歲的莫里斯(Morris)將其編寫的蠕蟲程序輸入計(jì)算機(jī)網(wǎng)絡(luò),致使這個(gè)擁有數(shù)萬臺計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計(jì)算機(jī)病毒的恐慌,也使更多的計(jì)算機(jī)專家重視和致力于計(jì)算機(jī)病毒研究。1988年下半年,中國在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒,它對

86、統(tǒng)計(jì)系統(tǒng)影響極大,此后由計(jì)算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷,前一段時(shí)間發(fā)現(xiàn)的CIH、美麗莎等病毒更是給社會造成了很大損失。</p><p>  第五章:計(jì)算機(jī)病毒的觸發(fā)機(jī)制</p><p>  第六章:計(jì)算機(jī)病毒的防治</p><p>  6.1預(yù)防計(jì)算機(jī)病毒</p><p>  如何檢查筆記本是否中了病毒?以下就是?檢查步驟: &l

87、t;/p><p><b>  一、進(jìn)程</b></p><p>  首先排查的就是進(jìn)程了,方法簡單,開機(jī)后,什么都不要啟動! </p><p>  第一步:直接打開任務(wù)管理器,查看有沒有可疑的進(jìn)程,不認(rèn)識的進(jìn)程可以Google或者百度一下。 </p><p>  第二步:打開冰刃等軟件,先查看有沒有隱藏進(jìn)程(冰刃中以紅色標(biāo)出

88、),然后查看系統(tǒng)進(jìn)程的路徑是否正確。 </p><p>  第三步:如果進(jìn)程全部正常,則利用Wsyscheck等工具,查看是否有可疑的線程注入到正常進(jìn)程中。 </p><p><b>  二、自啟動項(xiàng)目</b></p><p>  進(jìn)程排查完畢,如果沒有發(fā)現(xiàn)異常,則開始排查啟動項(xiàng)。 </p><p>  第一步:用msc

89、onfig察看是否有可疑的服務(wù),開始,運(yùn)行,輸入“msconfig”,確定,切換到服務(wù)選項(xiàng)卡,勾選“隱藏所有Microsoft服務(wù)”復(fù)選框,然后逐一確認(rèn)剩下的服務(wù)是否正常(可以憑經(jīng)驗(yàn)識別,也可以利用搜索引擎)。 </p><p>  第二步:用msconfig察看是否有可疑的自啟動項(xiàng),切換到“啟動”選項(xiàng)卡,逐一排查就可以了。 </p><p>  第三步,用Autoruns等,查看更詳細(xì)的

90、啟動項(xiàng)信息(包括服務(wù)、驅(qū)動和自啟動項(xiàng)、IEBHO等信息)。 </p><p><b>  三、網(wǎng)絡(luò)連接</b></p><p>  ADSL用戶,在這個(gè)時(shí)候可以進(jìn)行虛擬撥號,連接到Internet了。然后直接用冰刃的網(wǎng)絡(luò)連接查看,是否有可疑的連接,對于IP地址如果發(fā)現(xiàn)異常,不要著急,關(guān)掉系統(tǒng)中可能使用網(wǎng)絡(luò)的程序(如迅雷等下載軟件、殺毒軟件的自動更新程序、IE瀏覽器等)

91、,再次查看網(wǎng)絡(luò)連接信息。 </p><p><b>  四、安全模式</b></p><p>  重啟,直接進(jìn)入安全模式,如果無法進(jìn)入,并且出現(xiàn)藍(lán)屏等現(xiàn)象,則應(yīng)該引起警惕,可能是病毒入侵的后遺癥,也可能病毒還沒有清除! </p><p><b>  五、映像劫持</b></p><p>  Y_LO

92、CAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,查看有沒有可疑的映像劫持項(xiàng)目,如果發(fā)現(xiàn)可疑項(xiàng),很可能已經(jīng)中毒。 </p><p><b>  六、CPU時(shí)間</b></p><p>  如果開機(jī)以后,系統(tǒng)運(yùn)行緩慢,還可以用CPU時(shí)間做參考,找到可疑進(jìn)程,方法如下: &l

93、t;/p><p>  打開任務(wù)管理器,切換到進(jìn)程選項(xiàng)卡,在菜單中點(diǎn)“查看”,“選擇列”,勾選“CPU時(shí)間”,然后確定,單擊CPU時(shí)間的標(biāo)題,進(jìn)行排序,尋找除了SystemIdleProcess和SYSTEM以外,CPU時(shí)間較大的進(jìn)程,這個(gè)進(jìn)程需要引起一定的警惕。</p><p>  6.2.1消除計(jì)算機(jī)方法</p><p>  縱觀計(jì)算機(jī)病毒的發(fā)展歷史,大家可以看出,計(jì)

94、算機(jī)病毒已經(jīng)從最初的擠占CPU資源、破壞硬盤數(shù)據(jù)逐步發(fā)展成為破壞計(jì)算機(jī)硬件設(shè)備,并向著更嚴(yán)重的方向發(fā)展(戰(zhàn)略武器),有誰能保證它們未來不破壞更重要的東西呢?怎樣保護(hù)電腦,怎樣使自己不因病毒作祟而蒙難、使病毒危機(jī)不引起我們的生存危機(jī)?最重要的是采取各種安全措施預(yù)防病毒,不給病毒以可乘之機(jī)。另外,就是使用各種殺毒程序,把病毒殺死,從電腦中清除出去。   </p><p>  預(yù)防病毒是最重要的   </p>

95、;<p>  殺毒軟件做得再好,也只是針對已經(jīng)出現(xiàn)的病毒,它們對新的病毒是無能為力的。而新的病毒總是層出不窮,并且在Internet高速發(fā)展的今天,病毒傳播也更為迅速。一旦感染病毒,計(jì)算機(jī)就會受到不同程度損害。雖然到最后病毒可以被殺掉,但損失卻是無法挽回的?! ?lt;/p><p>  預(yù)防病毒要注意以下事項(xiàng):  </p><p>  ① 重要的是不要隨便拷貝來歷不明的軟件,不要

96、使用未經(jīng)授權(quán)的軟件。游戲軟件和網(wǎng)上的免費(fèi)軟件是病毒的主要載體,使用前一定要用殺毒軟件檢查,防患于未然。一般不要在工作機(jī)上玩游戲。     </p><p>  ② 給系統(tǒng)盤與文件加以寫保護(hù),防止被感染?! ?lt;/p><p>  ③ 系統(tǒng)和重要軟件及時(shí)備份,以防系統(tǒng)遭到破壞時(shí),把損失降到最小限度。在計(jì)算機(jī)沒有染毒時(shí),一定要做一張或多作幾張系統(tǒng)啟動盤。因?yàn)楹芏嗖《倦m然殺除后就消失了,但也有些病

97、毒在電腦一啟動時(shí)就會駐留在內(nèi)存中,在這種帶有病毒的環(huán)境下殺毒只能把它們從硬盤上殺除,而內(nèi)存中還有,殺完了立刻又染上,所以想要?dú)⒊鼈兊脑?,一定要用沒有感染病毒的啟動盤從軟盤啟動,才能保證電腦啟動后內(nèi)存中沒有病毒。也只有這樣,才能將病毒徹底殺除。再強(qiáng)調(diào)一下,備份文件和做啟動盤時(shí)一定要保證你的電腦中是沒有病毒的,否則的話只會適得其.</p><p>  ④ 經(jīng)常用清除殺毒軟件對計(jì)算機(jī)作檢查,及時(shí)發(fā)現(xiàn)病毒、消除病毒. 

98、 </p><p><b>  清除病毒  </b></p><p>  盡管采取了各種預(yù)防措施,有時(shí)仍不免會染上病毒。因此,檢測和消除病毒仍是用戶維護(hù)系統(tǒng)正常運(yùn)轉(zhuǎn)所必須的工作。目前流行的殺毒軟件較多,有:KV300、KILL、瑞星、PC CILLIN、NAV、MCAFEE等。使用這些軟件時(shí)必須先用殺毒盤或干凈(保證無毒)的系統(tǒng)軟盤啟動。 現(xiàn)介紹其中一種kv300的使

99、用。  </p><p> ?、?啟動與殺毒  KV300的殺毒軟盤本身就是啟動盤。我們可以用KV300殺毒盤啟動電腦。用啟動軟盤啟動后,電腦不會進(jìn)入我們平時(shí)看到的Windows 98,而是進(jìn)入字符的狀態(tài),也叫做DOS命令行狀態(tài)。在DOS中,我們輸入文件名,然后加回車,就可以運(yùn)行它。   </p><p>  如果不是用“KV300”的軟盤啟動, 則先取出啟動盤, 再把“KV300”軟盤放

100、入軟驅(qū)。否則,就不用換盤了?,F(xiàn)在我們輸入殺毒軟件的名稱“KV300”,這是殺毒程序的名字,然后回車就可以運(yùn)行它。 </p><p>  V300啟動后的默認(rèn)狀態(tài)是等候殺毒,只要告訴它一個(gè)盤符就立即開始?xì)⒍玖?,比如想殺C盤上的病毒,就按字母C。想殺A盤就按A。這是最基本的用法。 </p><p> ?、?備份硬盤引導(dǎo)區(qū)信息。引導(dǎo)區(qū)是磁盤的特殊區(qū)域,系統(tǒng)啟動時(shí)要讀入引導(dǎo)區(qū)的信息。有的病毒會破壞

101、引導(dǎo)區(qū),這樣在系統(tǒng)啟動讀入引導(dǎo)區(qū)信息時(shí),病毒就會趁機(jī)跑到內(nèi)存里,使系統(tǒng)環(huán)境染上病毒,嚴(yán)重的可能會使硬盤無法使用。如果你曾經(jīng)在沒有染毒時(shí)為硬盤的引導(dǎo)區(qū)信息做過備份,這時(shí)將它恢復(fù)到硬盤上就能把引導(dǎo)區(qū)病毒清除了?! ?lt;/p><p>  那該怎么做這個(gè)備份呢?   </p><p>  在確定電腦沒有染毒的情況下,在DOS的提示符下輸入命令:KV300/b; 然后,在A驅(qū)動器中放一張格式化過的軟

102、盤,KV300會自動把硬盤的引導(dǎo)區(qū)信息寫入軟盤,信息以hdpt.dat為文件名保存。應(yīng)該妥善地保存這張軟盤,如果以后硬盤染上了引導(dǎo)區(qū)病毒,只要用KV300的殺毒盤啟動電腦, 再換上保存有硬盤引導(dǎo)信息的軟盤, 然后輸入命令KV300/ hdpt.dat的命令就可以把引導(dǎo)區(qū)信息恢復(fù)到硬盤上,硬盤就又可以使用了?! 、?其他使用</p><p>  按F2,再輸入盤符是掃描病毒,也就是查毒但并不殺毒。   </p

103、><p>  按F3為殺毒。   </p><p>  按F5可選擇查毒的路徑。   </p><p>  按F6可查看硬盤的分區(qū)表。   </p><p>  按F7會列出KV300能殺的所有病毒。   </p><p>  按F8可以顯示幫助信息。   </p><p>  按F9顯示版本信息。

104、   </p><p>  按F10是系統(tǒng)測試和修復(fù)。如果我們的硬盤被CIH病毒破壞了的話,就可以用這個(gè)功能來恢復(fù)硬盤中邏輯分區(qū)。在個(gè)別的情況下也可能恢復(fù)基本分區(qū)C。   </p><p>  要退出KV300的話,就按Esc鍵。 </p><p>  6.2.2計(jì)算機(jī)病毒的檢測和清除 </p><p>  1.檢測計(jì)算機(jī)病毒 </p&

105、gt;<p>  一般的病毒靜態(tài)存儲在磁盤中,激活時(shí)駐留在內(nèi)存中。因此對計(jì)算機(jī)病毒的檢測可分為對內(nèi)存的檢測和對磁盤的檢測兩種。 </p><p>  對計(jì)算機(jī)進(jìn)行病毒檢測時(shí),應(yīng)采用未受病毒感染的DOS系統(tǒng)軟盤進(jìn)行冷啟動,以保證內(nèi)存中不帶病毒。否則查看不到被它感染的文件長度已發(fā)生變化。 </p><p>  檢測磁盤中的病毒可分成檢測引導(dǎo)扇區(qū)型病毒和檢測文件型病毒。 

106、   檢測磁盤引導(dǎo)區(qū)的病毒可看內(nèi)存的空間是否被病毒占用,用MEM/c/p命令即可檢測。檢查磁盤文件病毒,可查看文件的長度是否被加長,這樣可查出病毒是否感染了文件。 </p><p>  2.清除計(jì)算機(jī)病毒 </p><p>  清除計(jì)算機(jī)病毒主要應(yīng)做以下工作:一是清除內(nèi)存中的病毒,二是清除磁盤中的病毒,三是病毒發(fā)作后的善后處理。 </p><p>

107、;  清除引導(dǎo)扇區(qū)型病毒時(shí),應(yīng)預(yù)先準(zhǔn)備好正常引導(dǎo)程序的備份,從軟盤啟動系統(tǒng)。對主引導(dǎo)區(qū)中的分區(qū)表信息應(yīng)特別注意,因?yàn)橐坏┓謪^(qū)表信息被破壞,要從硬盤中提取現(xiàn)有分區(qū)的狀況并恢復(fù)分區(qū)表比較困難。 </p><p>  對于將引導(dǎo)扇區(qū)轉(zhuǎn)儲的引導(dǎo)區(qū)型病毒,只要將原引導(dǎo)扇區(qū)找出并回寫就可以了,但在回寫前要檢查其有效性,不然也可能會造成破壞,使原本在帶病毒的情況下尚能存取的硬盤,在清除了病毒之后反而找不到硬盤了。這種情況一般為

108、分區(qū)信息丟失。 </p><p>  被覆蓋型病毒感染的文件最好徹底刪除。要徹底清除病毒一般來說要有正版的殺毒軟件殺毒,才能使病毒徹底清除?;蛘哂脖P加上保護(hù)措施,即在主板上加裝防病毒卡,使病毒不能寫入到計(jì)算機(jī)硬盤上。 </p><p>  對于被非覆蓋型病毒感染的文件,則反病毒軟件也可以仿照病毒傳染的逆過程,將病毒清除出被感染文件,并保持其原來的功能。 </p><p&

109、gt;  3.當(dāng)沒有殺毒軟件時(shí)發(fā)現(xiàn)病毒的方法 </p><p>  計(jì)算機(jī)的用戶為防范病毒,都希望有一個(gè)功能強(qiáng)大、能消除多種病毒的反病毒軟件。 </p><p>  但任何一種查病毒程序都無法查出世界上所有的病毒,對那些新出現(xiàn)的,還沒有收入病毒庫的病毒,殺毒軟件就無法查出。 </p><p>  首先準(zhǔn)備一張封好寫保護(hù)口的DOS系統(tǒng)盤,再準(zhǔn)備一張同樣的空白盤。DOS

110、系統(tǒng)盤上應(yīng)含有幾個(gè)COM型和EXE型文件。 </p><p>  用系統(tǒng)軟盤啟動被檢查的計(jì)算機(jī),用系統(tǒng)盤上的DISKCOPY命令將系統(tǒng)盤整盤拷貝到空白盤,制成取樣盤。 </p><p>  再用硬盤重新啟動計(jì)算機(jī),運(yùn)行一些懷疑帶病毒的程序,使病毒有機(jī)會感染內(nèi)存。然后將取樣盤插入軟驅(qū)。運(yùn)行上面的.COM型和.EXE型DOS程序,使被運(yùn)行的.COM型和.EXE型DOS程序有機(jī)會被感染。最后運(yùn)行

111、取樣盤上的DEBUG程序,并使用下列3條命令: </p><p>  L  100  0  0  1 </p><p>  W  100  0  0  1 </p><p><b>  Q </b></p><p>  第1條命令是從A驅(qū)動器

112、讀DOS引導(dǎo)扇區(qū)到內(nèi)存,第2條命令是將剛讀入內(nèi)存的內(nèi)容再寫回軟盤上,第3條命令是退出DEBUG。這樣使在計(jì)算機(jī)執(zhí)行磁盤寫命令時(shí)才被感染的病毒有機(jī)會傳染取樣盤,同時(shí)又不會破壞其他扇區(qū)的內(nèi)容。 </p><p>  在上述操作結(jié)束之后,取出取樣盤并進(jìn)行寫保護(hù)。然后對這張取樣盤進(jìn)行判斷,看是否被感染上病毒。用干凈的系統(tǒng)盤重新對計(jì)算機(jī)進(jìn)行冷啟動,用干凈盤上的DISKCOMP命令比較DOS系統(tǒng)盤和取樣盤,以發(fā)現(xiàn)是否有引導(dǎo)區(qū)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論